Vulnerabilidad en Microsoft Graph (CVE-2023-49283)

microsoft-graph-core la librería Microsoft Graph para PHP. El SDK PHP Beta de Microsoft Graph publicó paquetes que contenían código de prueba que permitía el uso de la función phpInfo() desde cualquier aplicación que pudiera acceder y ejecutar el archivo en `vendor/microsoft/microsoft-graph-core/tests/GetPhpInfo.php`. La función phpInfo expone información del sistema. La vulnerabilidad afecta al script GetPhpInfo.php del SDK de PHP que contiene una llamada a la función phpinfo(). Esta vulnerabilidad requiere que esté presente una mala configuración del servidor para poder explotarla. Por ejemplo, hacer que el directorio web/proveedor de la aplicación PHP sea accesible. La combinación de la vulnerabilidad y la mala configuración del servidor permitiría a un atacante crear una solicitud HTTP que ejecute el método phpinfo(). Luego, el atacante podría obtener acceso a información del sistema, como configuración, módulos y variables de entorno, y luego utilizar los secretos comprometidos para acceder a datos adicionales. Este problema se ha solucionado en la versión 2.0.2. Si no está disponible una implementación inmediata con el paquete de proveedor actualizado, puede realizar las siguientes soluciones temporales: eliminar el archivo `vendor/microsoft/microsoft-graph-core/tests/GetPhpInfo.php`, eliminar el acceso al directorio /vendor, o desactivar la función phpinfo